Οκτώβρης 2019 Ενημέρωση Ασφάλειας

Η ενημέρωση του Οκτωβρίου καλύπτει μεικτό περιεχόμενο στο Chrome, ελαττώματα ασφαλείας στο Pixel 4 και sudo, την ασφάλεια του Firefox και την πρόοδο των κβαντικών υπολογιστών στο Google.

Καλώς ήρθατε στην έκδοση SSL του Οκτωβρίου 2019 Ενημέρωση ασφαλείας, μια σύνοψη στο τέλος του μήνα όπου επισημαίνουμε σημαντικές εξελίξεις στον τομέα του SSL /TLS, ψηφιακά πιστοποιητικά και ψηφιακή ασφάλεια.

Στο μπροστινό μέρος του προγράμματος περιήγησης αυτόν τον μήνα, Η Google αποφάσισε να ξεκινήσει αποκλεισμός μικτού περιεχομένου στο Chrome και το Mozilla Firefox έχει ονομαστεί το πιο ασφαλές πρόγραμμα περιήγησης από τον οργανισμό ασφάλειας πληροφοριών της Γερμανίας.

Σε άλλες ειδήσεις που σχετίζονται με την ασφάλεια, Το σύστημα ξεκλειδώματος προσώπου του Google Pixel 4 αυτήν τη στιγμή δεν έχει έλεγχο επαγρύπνησης, Οι χρήστες Linux πρέπει αναβάθμιση sudoκαι οι ερευνητές της Google δημοσίευσαν ένα άρθρο στο Φύση λεπτομερώς πρόοδο στον κβαντικό υπολογισμό.

Google για αποκλεισμό όλου του μικτού περιεχομένου στο Chrome

Το ιστολόγιο Chromium ανακοίνωσε στις 3 Οκτωβρίου 2019 ότι το Chrome σύντομα θα αρχίσει να αποκλείει όλα μεικτό περιεχόμενο, μια κατάσταση όπου οι πόροι ενός HTTPS Ο ιστότοπος φορτώνεται με ασφάλεια μέσω HTTP. Μέχρι αυτήν τη στιγμή, τα προγράμματα περιήγησης αποκλείστηκαν ενεργός μικτό περιεχόμενο όπως σενάρια και iframes. Το Chrome θα αρχίσει να αποκλείει παθητικός μικτό περιεχόμενο (π.χ. εικόνες, ήχος και βίντεο), το οποίο παρουσιάζει επίσης κινδύνους ασφαλείας. Για παράδειγμα,

ένας εισβολέας θα μπορούσε να παραβιάσει μια μικτή εικόνα ενός γραφήματος μετοχών για να παραπλανήσει τους επενδυτές ή να εισάγει ένα cookie παρακολούθησης σε ένα μικτό φορτίο πόρων. Η φόρτωση μικτού περιεχομένου οδηγεί επίσης σε μια σύγχυση UX ασφαλείας του προγράμματος περιήγησης, όπου η σελίδα παρουσιάζεται ως ούτε ασφαλής ούτε ανασφαλής αλλά κάπου ενδιάμεσα.

Η κίνηση της Google για αποκλεισμό μικτού περιεχομένου θα πραγματοποιηθεί σε μια σειρά βημάτων ξεκινώντας από το Chrome 79 (σταθερή έκδοση τον Δεκέμβριο του 2019) και θα συνεχιστεί μέσω του Chrome 81 (πρώιμη κυκλοφορία τον Φεβρουάριο του 2020).

Για να αποφευχθεί η κατάρρευση του ιστού στο μέτρο του δυνατού, το Chrome θα προσπαθήσει να αναβαθμίσει αυτόματα τους πόρους HTTP σε HTTPS (εάν υπάρχει) και οι χρήστες θα επιτρέψουν την ενεργοποίηση μικτού περιεχομένου από ιστότοπο σε ιστότοπο.

Απογείωση SSL.com: Η δράση της Google είναι απλώς η πιο πρόσφατη από πολλούς καλούς λόγους για την απόσυρση μικτού περιεχομένου στους ιστότοπούς σας και αναμένουμε ότι άλλα προγράμματα περιήγησης θα ακολουθήσουν το ίδιο νωρίτερα και όχι αργότερα. Διαβάστε το άρθρο του SSL.com, HTTPS παντού: Κατάργηση μικτού περιεχομένου για βελτίωση του SEOκαι, στη συνέχεια, βεβαιωθείτε ότι ο ιστότοπός σας έχει ρυθμιστεί για προβολή όλοι πόρων με HTTPS.

Το Γερμανικό πρακτορείο ονομάζει τον Firefox "Το πιο ασφαλές πρόγραμμα περιήγησης"

Έλεγχος από το Ομοσπονδιακό Γραφείο Ασφάλειας Πληροφοριών της Γερμανίας (στα Γερμανικά, το Bundesamt für Sicherheit in der Informationstechnik, ή BMI) έχει δηλώσει ότι το Mozilla Firefox ήταν το μόνο δοκιμασμένο πρόγραμμα περιήγησης που πληρούσε το ελάχιστο πρόσφατο ενημερωμένο πρακτορείο απαιτήσεις να ληφθεί υπόψη σισιρέ (συγχωρήστε μας Deutsche). Σύμφωνα με ZDNet,

Το BSI χρησιμοποιεί συνήθως αυτόν τον οδηγό για να συμβουλεύει κυβερνητικές υπηρεσίες και εταιρείες του ιδιωτικού τομέα σχετικά με το ποια προγράμματα περιήγησης είναι ασφαλή στη χρήση.

Τα δοκιμασμένα προγράμματα περιήγησης περιελάμβαναν τους Firefox 68, Chrome 76, IE 11 και Edge 44. ZDNet's άρθρο δηλώνει επίσης ότι οι δοκιμές "δεν περιελάμβαναν άλλα προγράμματα περιήγησης όπως τα Safari, Brave, Opera ή Vivaldi."

Απογείωση SSL.com: Μας αρέσει ο Firefox, αλλά επίσης σημειώνουμε, λαμβάνοντας υπόψη τις τρέχουσες τάσεις διεπαφής χρήστη του προγράμματος περιήγησης, ότι οι οδηγίες του BMI υποχρεώνουν ότι τα ασφαλή προγράμματα περιήγησης «πρέπει να υποστηρίζουν πιστοποιητικά εκτεταμένης επικύρωσης». Φαίνεται επίσης σκόπιμο να επισημανθεί ότι οι οδηγίες υποδεικνύουν ότι τα προγράμματα περιήγησης «πρέπει να επαληθεύσουν τα πιστοποιημένα που έχουν φορτωθεί βάσει μιας λίστας ανάκλησης πιστοποίησης (CRL) ή ενός διαδικτυακού πρωτοκόλλου κατάστασης πιστοποιητικού (OCSP)». (Παρακαλώ δείτε το πρόσφατο μας άρθρο σχετικά με την ανάκληση του προγράμματος περιήγησης, ελέγχοντας περισσότερα για αυτό το θέμα.)

Μείνετε ξύπνιοι γύρω από το Pixel 4

Όπως ανακαλύφθηκε από τον Ο Chris Fox στο BBC, Το smartphone Pixel 4 της Google διαθέτει σύστημα Face Unlock που "μπορεί να επιτρέψει την πρόσβαση στη συσκευή ενός ατόμου ακόμα κι αν έχει κλείσει τα μάτια του". Αντίθετα, το iOS Face ID της Apple περιλαμβάνει έλεγχο επαγρύπνησης που διασφαλίζει ότι ο χρήστης είναι ξύπνιος και κοιτάζει το τηλέφωνο. Από την πλευρά της, η Google λέει ότι θα διορθώσει το πρόβλημα "τους επόμενους μήνες. "

Απογείωση SSL.com: Εάν διαθέτετε Pixel 4, προτείνουμε να απενεργοποιήσετε τη λειτουργία Face Unlock ενεργοποιώντας λειτουργία κλειδώματος έως ότου η Google προσθέσει έναν έλεγχο για εγρήγορση. Εναλλακτικά, θα μπορούσατε απλώς να αποφύγετε τον ύπνο (ή το θάνατο) κοντά στο Pixel 4 μέχρι να φτάσει μια επιδιόρθωση.

Το Sudo Flaw επιτρέπει στους χρήστες να εκτελούν εντολές ως Root

An Ιστορία 14 Οκτωβρίου στις ειδήσεις χάκερ (thehackernews.com, Δεν news.ycombinator.com) περιγράφει μια ευπάθεια που ανακαλύφθηκε πρόσφατα στην ευρέως χρησιμοποιούμενη sudo εντολή που "θα μπορούσε να επιτρέψει σε έναν κακόβουλο χρήστη ή ένα πρόγραμμα να εκτελέσει αυθαίρετες εντολές ως root σε ένα στοχευμένο σύστημα Linux, ακόμη και όταν η" διαμόρφωση sudoers "απαγορεύει ρητά την πρόσβαση root."

Το ελάττωμα ασφαλείας, το οποίο εξαρτάται από μια συγκεκριμένη διαμόρφωση του /etc/sudoers αρχείο, επηρεάζει όλες τις εκδόσεις του sudo πριν από την 1.8.28. Μπορεί να αξιοποιηθεί καθορίζοντας το αναγνωριστικό χρήστη -1 or 4294967295 στη γραμμή εντολών.

Απογείωση SSL.com: Ενημερώστε το sudo ASAP εάν δεν το έχετε κάνει ήδη.

Κβαντική υπολογιστική ανακάλυψη στο Google

Bloch Σφαίρα
πηγή: Wikimedia Commons

Στις 23 Οκτωβρίου, οι ερευνητές της Google δημοσίευσαν ένα χαρτί in Φύση, αναφέροντας ότι ο νέος κβαντικός επεξεργαστής τους, "Sycamore"

χρειάζονται περίπου 200 δευτερόλεπτα για τη δειγματοληψία ενός στιγμιότυπου κβαντικού κυκλώματος εκατομμύριο φορές - τα σημεία αναφοράς μας δείχνουν ότι η ισοδύναμη εργασία για έναν υπερσύγχρονο κλασικό υπερυπολογιστή θα διαρκέσει περίπου 10,000 χρόνια.

Ωστόσο, μια είδηση ​​CBS άρθρο δείχνει ότι κάποια διαμάχη περιβάλλει το εύρημα, με ερευνητές της IBM που δηλώνουν ότι η Google «υποτίμησε τον συμβατικό υπερυπολογιστή, που ονομάζεται Summit, και είπε ότι θα μπορούσε πραγματικά να κάνει τον υπολογισμό σε 2.5 ημέρες». Ενδεχομένως όχι τυχαία, το Summit αναπτύχθηκε από την IBM.

Απογείωση SSL.com: Οι κίνδυνοι που θέτει η ασφάλεια του Διαδικτύου από την κβαντική πληροφορική δεν είναι ακόμη εδώ, αλλά είναι συνετό να παρακολουθείτε τις εξελίξεις σε αυτόν τον τομέα. Ιδιαίτερη προσοχή είναι η πιθανή ευπάθεια του Κλειδιά ECDSA σε ένα εφαρμογή του αλγόριθμου Shor σε έναν αρκετά μεγάλο κβαντικό υπολογιστή.

Σας ευχαριστούμε που επισκεφθήκατε το SSL.com, όπου πιστεύουμε Ασφαλέστερο Το Διαδίκτυο είναι ένα καλύτερα Διαδίκτυο! Μπορείτε να επικοινωνήσετε μαζί μας μέσω email στο Support@SSL.com, κλήση 1-877-SSL-SECUREή απλώς κάντε κλικ στο σύνδεσμο συνομιλίας στην κάτω δεξιά γωνία αυτής της σελίδας.


Θα θέλαμε τα σχόλιά σας

Συμμετάσχετε στην έρευνά μας και πείτε μας τις σκέψεις σας για την πρόσφατη αγορά σας.